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BESCHREffiUNG 

Verfahren zum Abwehren von mittels difiTerentieller Stromanalyse erfolgenden 
Aiigriffen 

Die vorliegende Erfindung betrifit ein VerGahien zum Abwehren mindestms eines 
5 Angri£&, das mittels diEferentiell^ Stromanalyse bei mindestens einem hyperellip- 
tisch^ Kiyptosystem, insbesondere bei mindestens einem hyperelliptischen Piiblic- 
Key-Kryptosystem, erfolgt, das dutch mind^ens erne hyperelliptische Kurve belie- 
bigen Geschlechts uber einem endlichen Korper in einer ersten GTiq)pe gegeben ist, 
wobei die hyperelliptische Kurve durch mindestens einen KoefQzienten gegeben ist. 

10 

Obwohl bis vor kurzem elliptische Kryptosysteme (== Systeme auf Basis sogenannter 
e|Tliptic]c[urve]c[ryptography]) flir schneller als hyperelliptische Kryptosysteme (== 
Systeme auf Basis sogenamiter h[yperelliptic]c[urve]c[ryptography]) gehalten wurden, 
wurde bereits in der Vergangenheit der Gebrauch von Jacobischen Varietaten hyper- 

1 5 elliptischer Kurven iiber endlichen Korpem als Alternative zu elliptischen Kurven fiir 
die Kryptogr^hie vorgeschlagen (vgl. Neal Koblifz, "A &mily of Jacobians suitable for 
discrete log ayptosystems", in S. Goldwasser (Bisg.), "Advances in Cryptology - 
CRYPTO '88", Band 403 der "Lecture Notes in Computer Science", Seiten 94 bis 99, 
21. bis 25. August 1988, Springer-Verlag, 1990; Neal Koblitz, 'THyperelliptic Crypto- 

20 systems". Journal of Cryptology 1 (1989), Seiten 139 bis 150). 

Zwei jungste Entwicldungen lassen nun jedoch die Einschatzung, dass ecc-Systeme 
schneller als hec-Systeme sind, als andenmgsbedurftig erscheinen: 

23 Im September 2002 hat Kim Nguyen (Philips Semiconductors) die Er^bnisse seiner 
Implementierung von Tanja Langes projektiven Formeln (vgl. Tanja Lange, "Inversion- 
Free Arithmetic on Genus 2 Hyperelliptic Curves", Cryptology ePrint Archive, Report 
2002/147, 2002, http://eprintiacr.org/) in Geschlecht zwei auf einem experimentellen 
Hardware-Simulator beim ECC 2002 "Workshop on elliptic curve cryptogr^hy" in 

30 Essen beschrieben. Die Resultate lieBen die KonkurienziShigkeit von hec vermuten. 
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Kurz danach haben J. Pelzl, T. Wollinger, J. Guajardo und C. Paar sehr effiziente 
Formeln fiir K urven des Geschlechts drei bekannt gemacht (vgl. J, Pelzl, T. Wollinger, 
J. Guajardo, C, Paar, "Hyperelliptic Curve Cryptosystems: Closing the Performance 
5 Gap to Elliptic Curves", eingereicht), einschlieBlich einer drastischen Verbesserung der 
Zeiten fiir die Verdopplung in einem wichtigen Fall und einer Iinplementierung auf 
emem embedded microprocessor" (ARM7). 

Mit der effizienten Realisierung von hec-basierten Systemen in Hardware, insbesondere 
10 auf Chipkarten, stellt sich unnaittelbar die Frage nach der Sicherheit von hec in bezug 
auf differentielle Stromanalyse (sogenannte D[ifferential]P[ower]A[nalysis]). Die 
differentielle Stromanalyse wurde von P. Kocher, von J. Jaffe und von B. Jun in zwei 
Arbeiten (vgl. P. Kocher, J, Jaffe und B. Jun, "Introduction to Differential Power 
Analysis and Related Attacks", http://www.cryptography,com/dpa/technical, 1998; P. 
15 Kocher, J. Jaffe und B. Jun, "Differential Power Analysis", Lecture Notes in Computer 
Science, Band 1666, Seiten 388 bis 397, Springer-Verlag, Berlin, Heidelberg, 1999) 
eingefuhrt und wird in den zitierten Arbeiten beschrieben. 

Kurze Beschreibungen d^ differentiellen Stromanalyse finden sich auch 
20 - in den Abschnitten 3.2 und 33 der Arbeit von M. Joye und von C. Tymen, 

"Protections against Differential Analysis for Elliptic Curve Cryptography - An 
Algebraic Approach" in C. K. Koc, D. Naccache und C. Paar (Hrsg.): CHES 
2001, "Lecture Notes in Computer Science", Band 2162, Seiten 377 bis 390, 
Springer-Verlag, Berlin, Heidelberg, 2001 oder 
25 - in Abschnitt 3 der Arbeit von J.-S. Coron, "Resistance against Differential 
Power Analysis for Elliptic Curve Cryptosystems" in C. K. Koc und C- Paar 
(Hrsg.): CHES'99, "Lecture Notes in Computer Science", Band 1717, Seiten 292 
bis 302, Springer-Verlafe Berlin, Heidelberg, 1999. 



30 
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Solche DPA-AngriBe messen die Stromverbrauche kryptographisclier Apparate 
wahrend der Bearbeitung verschiedener Eingaben und setzen die MessuBgen in Korre- 
lation mit den Werten von festgelegten Bits in der intemen Darstellung der Daten. Die 
Idee der differentiellen Stromanalyse ist jedoch sebr allgemein und funktioniert auch 
5 nutweiterenphysikalischenGtdlkn, wiezumBei^^ 
Strahlung. 

Die bisherigen Darstellungen zur Implementierung von hec-basierten Kryptosystemen 
waten haixptsachlich auf die Effizienz der finplementation fokussiert und vemachlassig- 
10 ten die Resistenz der Implementierung gegenuber Attacken niittels diffeientieller 
Stromanalyse. 

Ausgehend von den vorstehend dargelegten Nachteilen und Unzulanglichkeiten sowie 
unter Wurdigung des unirissenen Standes der Technik liegt der vorlieg^den Erfindung 
15 die Aufgabe zugrunde, ein Ver&hren der eingangs genannten Art so weiterzubilden, 
dass ein wesentUcho: Beitrag zu einer effizienten und sicheren Implementi^img von 
Systemen auf Basis der hyperelliptiscliCTi Kryptographie geleistet werden kann. 

Diese Aufgabe wird durch ein Verfahren mit den im Ansprach 1 angegebenen Merk- 
20 xoBletk geldst Vorteilhafte Aus^staltungen und zweckmafiige Weiterbildung^ der 
vorliegenden Erfindimg sind in den Unteranspruchen gekennzeichnet 

Mithin basiert die vorlie^nde ^findung auf dem Prinzip des Bereitstellens von Gegen- 
maBnahmen zum Abwehren Von auf differentieller Stromanalyse beruhenden Angriffen 

25 auf Implementierungen hyperelliptischer Kryptosysteme, und zwar im speziellen darauf, 
dass die Skalaxmultiplikation auf der Jacobischen Varietat einer hyperelliptisclien Kurve 
durch Kurvenrandonodsierung (im Sinne eines hyperelliptisclien Analogons der Rando- 
misierung von Kurven bei der vorstehend zitierten Arbeit von M. Joye und von C. 
Tymen) und/oder dutch Divisoreniandomisierung (im Sinne eines hyperelliptischen 

30 Analogons der dritten GegenmaBnahme der vorstehend zitierten Arbeit von J.-S. Coron: 
Randomisierung von Punkten - also hier Divisorenrandomisierung) gegen difierentielle 
Stromanalyse resistent gemacht wild. 
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Auf diese Weise wild durch die beschriebene Erfindung ein wesentlicher Beitrag zut 
efHzienten xmd sicheren Implementienmg von h[yperelliptic]c[urve]c[ryptography]- 
basierten Systemen, das heifit in Riclitung auf die Robustheit sowie Sicherheit von hec- 
5 basierten Kryptosystemen gegen derariige DPA-Angriffe geleistet, wobei neben den 
Techniken und der Ausfuhrbarkeit nachfolgend auch die Konaplexitat derartiger 
Methoden betrachtet w^den soli. 

Die Grundidee bei der Kutvenrandonusierung besteht darin, die Bits von den Operan- 
1 0 den unvorhersehbar zu modifizieren. Zu diesem Zwecke wird die gewiinschte Berech- 
nung nicht in der gegebenen Gruppe, sondem in einer zweiten, zufallig erzeugten, aber 
isomoiphen Gruppe durchgefiihrt; sodann wird das Resultat in die erste Gruppe zunick- 
gezogen. 

1 5 Die Grundidee bei der Divisorenrandomisierung besteht darin, die Bits der Darstellung 
eines reduzierten Divisors, der ubiicherweise das Basiselement des Kryptosystems ist, 
Oder ein Zwischenergebnis der Skalarmultiplikation zu andem. Die Technik der Divi- 
sorenrandomisierung kann eingesetzt werden, wann inuner ein Gruppenelement auf 
mehrere unterscbiedliche Weisen dargestellt werden kann. 

20 

Die vorliegende Erfindung betrifft des weiteren einen Mikroprozessor, arbeitend gemaB 
einem Verfahren gemaB der vorstehend dargelegten Art. 

Die vorliegende Erfindung betrifit des weiteren eine Vorrichtun^ insbesondere Chip- 
23 karte und/oder insbesondere Smart-Card, aufiveisend mindestens einen Mikroprozessor 
gemaB der vorstehend dargelegten Art. 

Die vorliegrade Erfindung betrifft schliefilich die Verwendung 

eines Verfahrens gemSB der vorstehend dargelegten Art und/oder 
30 - mindestens eines Mikroprozessors gemaB der vorstehend dargelegten Art 
und/oder 
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mmdest^s einer Votrichtung, insbesondeie niindestens einer Qiipkarte 
und/oder insbesondere mindestens einer Smart-Card, gemSB der vorstehend 
dargelegten Art 

beim Abwehren mindestens eines mittels differentieller Stromanalyse auf mindestens 
3 ein liyperellq)tisches Kiyptosystem, insbesondere auf mindestens ein hyperelliptiscbes 
Public-Key-Kryptosystem, erfolgenden AngrifGs; hierbei bedient sich ein Public-Key- 
Krjrptosystem ublicherweise eines asymmetriscben Verschliisselungsverfiihrens. 



Wie beieits vorstebend ecortert, gibt es verscbiedene MogUcbkeiten, die Lebre der 
10 vorliegenden Erfindung in vorteilbafter Weise auszugestalten und weiterzubilden. 
Hierzu wird einerseits auf die dem Anspracb 1 nacbgeordneten Ansprucbe verwiesen, 
andererseits werden weitere Ausgestaltungen, Merkmale und Vorteile der vorliegenden 
Erfindung nacbstebend unter anderem anband der durcb Figur 1 veranscbaulicbten 
exemplariscben Implementierung gemafi einem Ausfubrungsbeispiel naber erlautert. 

15 

Es zeigt: 



Fig. 1 in scbematiscber Darstellung ein Ausfubrungsbeispiel fOr ein auf dem Prinzip 
der KurvCTrandomisierung berubenden Ver&bren gemaB der vorliegenden 
20 Ecfindung. 

Bevor nacbstebend anband eines ersten Ausfubrungsbeispiels die Metbode der Kurven- 
randomisierung veranscbaulicbt wird, sei fur eine anwendungsorientierte Einleitung in 
die Theorie der byperelliptiscben Kurven auf die Literaturstelle von "A. M^ezes, Y.-H. 
25 Wu und IL Zuccberato, "An Elementary Introduction to Hyperelliptic Curves", Anbang 
in Neal Koblitz, "Algebraic aspects of cryptograpby", Algoritbms and Computations in 
Mathematics, Band 3, Seiten 155 bis 178, Springer. Verla^ 1998 bingewiesen. 



30 



PHDE030202 EP-P 



Von dieser literaturstelle weicht die nachstehend verwendete Notation, die sich an der 
Notation gemaB 

Tanja Lange, "Inversion-Free Arithmetic on Genus 2 Hyperelliptic Curves", 
Cryptology ePrint Archive, Report 2002/147, 2002, http://eprint.iacr.org/, 
5 - Tanja Lange, "Weighted Coordinates on Genus 2 Hyperelliptic Curves", 

Cryptology ePrint Archive, Report 2002/153, 2002, http://eprintiacr.org/ sowie 
J. Pelzl, T. Wollinger, J. Guajardo, C, Paar, "Hyperelliptic Curve 
Cryptosystems: Closing the Performance Gap to Elliptic Curves", eingereicht 
orientiert: 

10 

Wird von zwei hypereUiptischen Kurven C, C vom Geschlecht g>l iiber dem 
endlichen Korper K ausgegangen, so lasst sich ein K-Isomoiphismus (p: C-^ C 
eindeutig zu einem K-Isomorphismus der Jacobischen Varietaten ^ J(C) J(C) 
erweitem. Anstatt Q-nDin J(C)(K) zu berechnen, wobei n eine naturliche Zahl ist und 
15 i> ein Element von J(C)(K) ist, wird 

ausgejuhrt. 

Dies bedeutet mit anderen Worten, dass das schematische Diagramm gemSfi Figur 1 
20 kommutativ ist und dass in diesem Diagramm erfindungsgemaB der "langere" Weg iiber 
J(C)(K) gegangen wird (das Bezugszeichen "x ti" in Figur 1 bedeutet "Multiplikation 
mit/i"). 

In diesem Zusammenhang ist die durch diesen K-Isomorphismus der Jacobischen 
25 Varietaten iinplementierte GegenmaBnahme zum Schutz vor auf der Basis von 

differentieller Stromanalyse erfolgenden Attacken dannbesonders erfolgreich, wenn 
sich die Darstellungen der Koeffizienten der Kurve C und der Elemente von J(C)(K) 
von den Darstellungen der Bilder unter $5 stark unterscheiden. Dies kann beispielsweise 
durch die Multiplikation aller Operanden mit Zufallszahlen erreicht werden. 

30 
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Nachfolgend wild nicht nur gezeigt, dass dies moglich is^ sondem auch, dass hiemi nur 
wenige Kotperoperationen erfoiderlich sind. 

Eine praktische Realisienmg des vorstehend dargelegten Prinzips der Kurvenrando- 
5 misienmg mittels allgemdner Isomoiphismen von Kurven g@ht zunachst davon aus, 
dass 

§•> 1 eine natiirliche ZaU ist 
K ein endlicher Koxper ist und 

C, hypeielUptische Kurven des Geschlechts die dutch Weierstrafische 
10 Gleichungen 




uber dem Kdrper K defboiert sind, wobei 

die Polynome^ noimiert vom Grad 2£+l in x seien und 

h(x), %(x) hSchstens den Grad g haben. 



15 

Die hypeielliptische Kurve Cbesitzt (ebenso wie die hyperelliptische Kurve (1) keine 
singularen affinen Punkte, das heiBt es gibt keine Paaie (x, y) s K x K, die gleichzeitig 
die Gleichungy + h(x)y -/(x) = 0 und die partiell abgeleiteten Gleichungen 2y\-h(x) = 0 
und h'(x)y'f(x) = 0 erfullen. Eine aquivalente Bedingung ist, dass die Diskriminante 
20 Af(x) + h(xf nicht verschwindet (vgl. Theorem 1 .7 aus P. Lockfaart, "On the 

discmninant of ahyperelliptic curve". Trans. Anoier, Mafh. Soc. 342 (1994), Nr. 2, 
Seiten 729 bis 752, MR 94f:110S4). Ahnliche Bedingungen gelten fur 

Der nichtafiSne Punkt der projektiven Komplettierung von C (bzw. von H) wird nrit 
25 "unendlich" bezeichnet. Alle K-Kurvenisomorphismen (f>: C -> S lassen sich durch 



Variablentransformationen der Form 
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beschreiben (vgl. Proposition 1.2 ans P. Lockhart, "On fhe discriminant of a hyper- 
elliptic curve". Trans. Amer. Math. Soc. 342 (1994), Nr. 2, Seiten 729 bis 752, MR 
94f:l 1054), fiir geeignete seK\bsK \mdA(x)e K[jc] vom Grad < g. 

5 Wenn x bzw. y in Gleichung (3) durch s'^x + b bzw. s^^'^y + A(x) ersetzt werden, kann 
dutch Vergleich mit Gleichung (2) geschlossen werden, dass 



Die inverse Transfomiation ist 



Der Isomoiphismus ^; C -> C induziert einen Isomorphismus von Gruppenvarietaten ^; 
J(C) ^f^^. Die Jacobische Varietat einer Kurve C ist kanonisch isomorph zur Ideal- 
Massengrqppe Cf(C), die geeigneter fiir explizite Berechnungen ist; demzufolge ist zu 
15 ergrunden, wie ^ als Abbildung Cf(C) CL^(C) operiert. 

Hietzu ist aozumerken, dass in D. Cantor, "Computing in the jacobian of a hyperelliplic 
curve". Mathematics of Computation, 48 (1987), Seiten 95 bis 101, Algoiithmen fiir die 
Rechnungen in der Idealklassengruppe mit der Darstellung in D. Mumford, "Tata 
20 Lectures on Theta U", Birkhuser, 1984 entwickelt wurden, die nachfolgend kurz 
dargestellt werden: 

Es sei D der einzige Hauptdivisor vom Grad < in einer gegebenen Divisorklasse auf 

C, das heiBt D = 27^mpP-(Ei>e5Wp)unendlich, 

25 - wobei die endliche Pimktmenge S eine Teilmenge von C(K) ist und als Trager 
von D bezeichnet wird und 

wobei die Vielfachheiten nti positive ganze Zahlen noit J^p^^p < g sind 
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Dann ist die dem Hauptdivisor Z> zugehorige Idealklasse dutch ein Paar eindeutig 
besthmnter Polynome U(t), V(t) s K[<] mit den folgenden Eigenschaften gegeben: 
g > de&?7 > degtr, U ist normiert und 




5 

GemaB der folgenden Nomenldatur soil [U(t), V(t)] den reduzierten Divisor D 
darstellen. 

Ziel ist es, zwei Polynome ^^^^M e K[<| zu finden, die ahnKche Eigenschaften wie 
10 U(tX V(t) auJRveisen, jedoch zum Divisor (p(D) = 2p85Wp^XSpfe^p)unendiich auf C 
anstatt D gehoren. Dies bedeutet mit anderen Worten, dass sich flir alle 
Korpererweiterungen L/K die folgenden Beziehungen ergeben soUen: 




15 Es ist Mar, wie die gesuchten Polynome zu konstred^en sind Offensichtlicli ist 




Femer ist W^.(x^}) = y^) fur alle P e 5, das heiBt 




20 Ein geeigneter Kandidat ist 
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In der Tat geben die Gleichung (8) und die Gleichung (9) die richtige Antwort; dies 
folgt aus der Eindeutigkeit der Darstellung eines reduzierten Divisors: U{t) und V{t) 
sind iiber K definiert, degV = degF< degC/= degU und die Feststellung, dass U{t) 
tatsachlich V{tf + Vitfi(t) - /(t) teilt, ist leicht 

5 

Nachstehend wird nun der Fall betxachtet, dass K ein Korper von ungerader Charak- 
teristik ist Es wird angCTtonamen, dass h(x) = K(x) = 0 ist, denn die defixderenden 
Gleichungen koBnen bei der Variablentransfoimation gemaB y-^y- h(x)/2 und y->y- 
h(x)l2 immer in diese Form gebracht werden. Der Vorteil besteht darin, dass der 
10 Cantorsche Algorithmus viel schneller lauft, und aus demselben Grund wurden explizite 
Formeln in ungerader Charakteristik untCT obiger Annahme entwickelt. Die 
Gleichungen fur C, C sind 

15 Dies beinhaltet bei Gleichung (6), dass A(x) = 0 ist 

Falls char K f 2g4- 1 ist, kann dariiber hinaus davon ausgegangen werdra, dass der zur 
zweithochsten Potenz von x in f(x) gehSrende Koeffizient^g (und der in }(x)) 
verschwindet, denn es kann stets eine Vatiablentransformalion gemafi x-^x -^g/(2g+l) 
20 durchgefiihrt werden. In diesem Fall muss kraft Gleichung (6) = 0 sein. 

Also ist ^ vom Typ 

mit s 8 K^ Es soUen hinsichtlich der ungeraden Charakteristik nur Lsomoiphismen 
25 dieses Typs betrachtet werden, auch falls char K = 2g+l . Die Formel zu / ist dann 
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Diese Randomisierung Sndert alle KoefSzienten der WeierstraBschen Gleichimg und 
der zwei den reduzierten Divisor darstellenden Polynome (ausgeschlossen die an 1 
festverdrahtet), und zwar 




5 Folglich kann diese Randomisierung als eine sichere Gegenmafinahme zum Abwehren 
von auf differentieller Stix>manalyse beruhenden Angriffen auf Implementierungen 
hyperelliplisclier Kryptosysteme bei einem Kdxper K von un^rader Chaiakteristik 
erachtet werden. 

10 In einer e:^liziten Bescbreibung dies^ mittels eines implementatodschen Tricks 

realisierten, sehr scbnellen Kurvenrandomisierung bei einem Koiper K von ungerader 
Charakteristik wird zunachst ein ZufeUselement ssK!^ ausgewahlt und sodann seine 
multiplikative Inverse berecbnet Der Grund dafiir ist, dass s'^ fiir ^ und s fiir ^"^ 
benotigt werden. 

15 



Nacbstebend wird nun ^ im Detail bescbrieben. Aus 




20 Fiir allgemeine U(t) und V(t) ist 




PHDE030202 EP-P 

12- 



Um ^auf der Rurve und auf einen Basisdivisor [U(t), V(t)] anzuwenden, wird s fSa:k= 
2, 3, 2g4-l nacheinander berechnet: 

weim k gerade ist, wird [4.^/2 und (weim k ungleich 2) fig+i^m tmt s"'^ 

multipliziert, 

5 - wenn k ungerade ist, wird Fgu^-;;^ mit nmltipliziert 

Fiir Ar= 2g+2, 2g44, 2(2g+l) wird s* durch wiedeifaolte Multiplikationen mit s'^ 
berechnet und>Sg+/^ mit multipliziert Zusaimnen sind dies 7^+1 Multtplikationra; 
^'^ bendtigt nur 4g Multiplikationen in K, 

10 

Falls die Kurve oder zumindest der Grundkorper festgelegt ist, gibt es auch einen 
implementatorischen Trick, der eingesetzt werden kann, urn die Berechnung der 
Lrsrersion s'^ des Elements s bei jedem Gebrauch des kryptographischen Gerats zu 
venneiden. 

15 

Von vomherein werden wahr^d der Initialisierungspliase des kryptogrq>hischen Gerats 
zufiUig ein Paar von KSrperelementen (sq, so'^) zusammen mit mehreten weiteren 
derartigen Paaien (/Co/cf^) erzeugt und im E^PROM gespeicbert. 

20 Datm wird vor jeder kryptographischen Operation zufallig ein Index i gewahlt; damit 

wird (soy so^) im E^PROM durch {kcsq, Ki^-sq^) ersetzt Das letztere Paar wird dann 
anstatt (sf, s"^) fax die Kurvenrandomisierung im gegenwartigqn Lauf des ktypto- 
gre^hiscben GerSts eingesetzt. 

25 Zusammenfassend lasst sicb mitbin feststellen, dass die Kurvenrandomisierung in 
ungerader Charakteristik eine effektive und efiBziente ScbutzmaBnahme gegen auf die 
Methode der differentiellen Stromanalyse gestiitzte Angriflfe ist Die Gesamtanzabl 
notwendiger Korperoperationen io K ist 1 Ig+l • 
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In der Praxis ist dies mit der Anzahl von Koiperopeiationen, fur einzelne Gxuppen- 
operationen vergleichbar und ofl viel weniger, als die Formeln in 

Tanja Lange, "Inversion-Free Arithmetic on Genus 2 Hyperelliptic Curves", 
Cryptology ePrint Archive, Report 2002/147, 2002, http://eprintiacr.org/, 
5 - Tanja Lange, 'Weighted Coordinates on Genus 2 Hyperelliptic Curves", 

Cryptology ePrint Archive, Report 2002/153, 2002, http://eprintiacr.org/ sowie 
J, Pelzl, T. Wollinger, J. Guajardo, C. Paar, "Hyperelliptic Curve 
Cryptosystems: Closing the Performance Gap to Elliptic Curves", eingereicht 

zeigen. 

10 

Die vorstehend hinsichtlich der allg^einen Isomorphismen von Kurven aufgefuhrten 
Argumente gelten in unveranderter Weise auch fiir den nachstehend diskutierten Fall, 
dass K ein Korper von gerader Chaiakteristik ist. In diesem Falle muss jedoch h(x)M(x) 
ungleich Null sein; dies bedeutet mit anderen Worten, dass die Anwendung allgemeiner 
15 Isomorphismen wenig^ effizient als im Falle der ungemden Charakteristik ist 



Anstelle der allgemeinen Isomorphismen gemaB Gleichung (4) wird b — 0 \mdA(x) = 0 
angenommen und wie im Falle der ungeraden Charaktenstik ^afbeitet. Die 
Isomorphismen der Form 




fur allgemeine jr 8 F2d \ F2 randomisieren alle Koeffizienten der Gleichimg wie folgt: 




Wie bei der vorstehenden expliziten Beschreibung der mittels eines implementato- 
25 rischen Tricks realisierten, sehr schnellen Kurvenrandomisierung bei einem Korper K 
von ungerader Charakteristik wird aucb bei einer expliziten Beschreibung der mittels 
eines intqilementatorischen Tricks realisierten, sehr schnellen Kurvenrandomisierung bei 
einem Korper K von gerader Charakteristik aus 
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Die Folgerung ist, dass keine allgememen Isomorphismen vom T^p gemaB Gleichung 
(4) benotigt werdeti, sondem dass diejenigen vom Typ gem&B Gleichung (12) 
ausreichen, um alle Bits der intemen Darstellungen e£Bzieiit zu randomisieren. 

10 

Die KoefBzienten von fi(x) werden aus den Koeffizienten von h(x) Shnlich wie die 
Koeffizienten von i^(t) berechnet: Fur k=^ 3, 5, 2g+l wetden Vg^i)n und h^^^yn mit 
s'^ multipliziert; aufierdem wird hg wit s'^ multipliziert; dies bedeutet, dass hSchstens 
jg+1 Korpeioperationen mehr als im Falle ungetader Charakteiistik erforderlich sind, 
1 5 und die samtlichen Kosten for die Anwendung von ^ sind 8^+2 Multiplikationen, 
nachdem s gewahlt und s'^ berechnet ist Der vorstehend beschriebene implementa- 
torische Trick ist hier nicht notwendig, denn die Inversion in binaren K5tpem ist 
ausreichend schnell. 

20 Nachstehend wird nun eine Fallunterscheidung fiir konstantes h und iur nichtkonstantes, 
jedoch iiber F2 definiertes h untersucht werden: 

In gerader Charakteristik ist darauf zu achten/welche Probleme entstehen, falls die Ko- 
effizienten der definierenden Gleichungen aus Durchsatzgrunden beschrankt werden, 
23 wobei der einfachste Fall betrachtet werden soli, dass h(x) eine nichtverschwindende 

Konstante ist, denn bei Gleichung (6) ist h(x) eben&Us konstant und nichtverschwindend. 
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Nun ist es aber ein bekanntes Resultat der algebraischen Geometrie, dass Kurv^ mit 
der Gleichung>^ + cy —f(x) mit nichtverschwindendem c und mit deg/ = 5 super- 
singular (vgl. Theorem 9 in S. D. Galbraith, "Supersingular curves in cryptography", in 
C. Boyd (HrsgO, ASIACRYPT 2001, "Lecture Notes in Computer Science", Band 2248, 
5 Seiten 495 bis 513, Springer-Verlag, 2001), also nicht geeignet fur die hier interes- 
sierenden kryptogrsEphischen Anwendungen sind. 

Demgegenuber ist keine hypereUiptische Kurve des Geschlechts = 3 in gerader 
Charakteristik siqpersingular (vgl. J. Scholten und H. J. Zhu, "Hyperelliptic curves in 
10 characteristic 2", Inter. Math. Research Notices, 17 (2002), Seiten 905 bis 917), also 
kann im Prinzip von Kurven mit der Gleichungy^ + cy = f(x) mit nichtverschwinden- 
dem c und mit deg/= 7 unter der Voraussetzung Gebrauch gemacht werden, dass 
&weiterungsgrad und Gruppenordnung angemessen ausg^wahlt werden. 

15 Obwohl in der von J, Pelzl, T. Wollinger, J. Guajardo und C. Paar eingereichten AAeit 
"Hyperelliptic Curve Ciyptosystems: Closing the Performance Gap to Elliptic Curves" . 
eine sehr schneUe Verdopplungsformel nur fur den Fall h(x) = 1 gegeben wird, kann die 
Geschwindigkeit der Divisorenverdopplung auch dann betrachtlich beschleunigt 
werden, wenn h(x) eine nichtverschwindende Konstante ist. Es \^X%(x) = s^^^^c = s'^c; 

20 dies macht den FaU von Kurven des Geschlechts ^ = 2 wichtig. 

Ttn Falle eines nichtkonstanten h werden die KoefiBzienten von h(x) aus Griinden der 
Geschwindigkeit oft in F2 gewahlt (vgl. zum Beispiel Tanja Lange, "Inversion-Free 
Arithmetic on Genus 2 Hyperelliptic Curves", Cryptology ePrint Archive, Report 
25 2002/147, 2002, http://eprintiacr.org/^ oder Tanja Lange, "Weighted Coordinates on 
Genus 2 Hyperelliptic Curves", Cryptology ePrint Archive, Report 2002/153, 2002, 
ht^*y/eprint.iacr.org/). 

In diesem Falle eines nichtkonstanten, jedoch uber F2 deSnierten h liegt aufgrund der 
30 Gleichung (6) eine Aquivalenz mit folgender Frage vor: Wemi h(x) 8 Fitc], fiir welche b 
8 K und fur welche ^ 8 ist i(3c; = s9^^MA^-VS) s F2M? 



(USPTO) 
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Falls r = (2^4-1) - 2 deg h ist, ist der fiihrende KoefBzient von ^i(x) gleich Bins, denn 
dieser fuhrende KoefBzient verschwindet nicht; die Zahl r ist ungerade, positiv und < 
2^-1. 

5 

Das Kzyptosystem muss dem Index-Calculus-Angriff von Gaudry (vgL P. Gaudiy, "An 
algorithm for solving the discrete log problem on hyperelliptic curves", in "Advances in 
Cryptology - Eurocrypt 2000", Seiten 19 bis 34, "Lecture Notes" in Conaputer Science, 
Band 1807, Springer-Verlag, Berlin, Heidelberg, 2000) widerstehen, also ist£^<4; 
10 folglich ist r < 7, und fiir r gibt es nur sehr wenige m5gliche Werte; dies macht ihrer 
Randomisierung uimotig. 

Es sei der Erweiterungsgrad = [K : Fa]. 

15 In diesem Zusammenhang ist anzumerken, dass fur einen Schutz vor Angriffen durch 
Weil-Abstieg (vgl. G. Frey, ^THow to disguise an ellq>tic curve (Weil descent)". Talk at 
ECC *98, Waterloo, 1998 (Folien verfugbar unter littp://www.cacr.math.uwaterloo.ca/ 
conferences/1 998/ecc98/slides.litml); G. Frey, "Applications of arithmetical geometry 
to cryptographic constructions", in "Finite fields and applications (Augsburg, 1999), 

20 Seiten 128 bis 161, Springer, Berlin, 2001) fiir den Erweiterungsgrad d entweder eine 
Primzahl p in der Grdfienordnung von > 1 601 g oder zweimal eine Primzahl p in der 
Grofienordnung von > 80/g^ gewahlt wird. 

Die mdgUchen Werte von iS' sind Nullstellen von irreduziblen Faktoren von, .Af-l, deren 
25 Grad Jteilt Falls d^p> 160/g^ > 40 (= bevorzugter Fall), ist = 1; Falls rf= 2p mit p > 
80/g^ > 20, kann s nur eine Nullstelle eines Faktors uber F2 von A^-l vom Grad 1 oder 2 
sein. Eine schnelle Auflistung solcher Faktoren (zu beachten ist, dass r ungerade und < 
7) zeigt, dass entweder jr= 1 oderr=3 undjf^+^ + 1 = 0, Wenn zwei KoefBzienten 
von h(x) nicht verschwinden, dann ist stets s—\. 



30 
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Wird nun von or a a? als Frobenius-Automorphismus von K/F2 ausgegangen, ist h(- 
V^) = h(-bf = h(-h) s F2 fiir alle 7, weil %(x) = Hx-h) z F2M. Dies bedeutet mit anderen 
Worten, dass alle Konjugierten von -6 unter dem Frobenius Losungen von h(x)'h(-b) = 
0 sind. Falls b kein Element von F2 ist, gibt es mindestens p > SO/g solcher Konjugier- 
5 ten, wobei der Giad von h(x) hochstBnsg^< 4 ist Aus diesem Grande muss b Element 
von F2 sein: Es gibt nur zwei Mdglichkeiten fur also ist eine Randonoisierung von b 
auch nicht sebr sinnvoll. 

Es kann also schlussfolgert werden, dass die relevanten Isomorpbismen vom Typ 



sind, woheiA(x) s K[x] vom Grad < g ist. 

Tm Siime eines hypeielliptischen Analogons ist die Situation hier also der in der 
vorstehend zitierten Arbeit von M. Joye und von C. Tymen beschriebenen Situation bei 
15 der Randomisierung von elUptiscben Kurven Shnlich, denn es kann nur eines der beiden 
Polynome oder nur eine HaKte der Koordinaten leistungs:Shig randomisiert werden. 

Tatsachlich ist die Situation sogqr schlechter, denn infolge Gleichung (6) werden nicht 
aUe KoefiBbrienten von/in 8 randomisiert, was die Wahrscheinlichkeit eines auf 
20 differentielle Stromanalyse (= D[ifiB3rential]P[owCT]A[nalysis]) gestutzten erfolgreichen 
AngrifiEs erhSht, wenn die Kurvenrandomisierung allein eingpsetzt wird. 

Zusammen&ssend lasst sich zur vorstehend diskutierten Methode der Kurvenrando- 
misierung mithin feststellen, dass diese GegemnaBnahme fur hyperelliptische Kurven 
25 des Geschlechts 2 in gerader Charakteristik 



10 




30 



entweder nicht ausreichend ist, weil za wenige Koeffizienten randomisiert 
werden konnen, 

Oder die Leistung des kryptogr^hischen Systems hemmt, indem die 
GegemnaBnahme die allg^einen Isomoiphismen gemaB Gleichung (4) 
verwendet und die Koeffizienten von h auBerhalb F^ liegen lasst 
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Iin Falle von Geschlecht 3 komen Kurven GleichuBg^^ + cy —f(x) und allgemeine 
Isomorphismen eingesetzt werden. In diesem Falle gentigt es, in Gleichimg (4) = 0 
xmd ^(5c^ = 0 zu fixieren, und wie am Ende der vorstehenden Beschreibung zmn Falle 
5 der ungeraden Chaiakteristik fortzufahren, um alle Koeffizienten in vemiinftiger Weise 
zu randomisieren. 

V 

In alien weiteren Fallen empfehlen sich andere Techniken, wie etwa die Divisoren- 
randomisienmg, die auch in ung^rader Chacakteristik arbeitet und die nachfolgend als 
10 zweites Ausfiihrungsbeispiel dargelegt wird, das 

in Kombination mit dem ersten Ausfuhrungsbeispiel der Kurvenrandomisierung 

Oder 

unabhangig vom ersten Ausfuhrungsbeispiel der Kurvenrandomisierung 
ausfuhrbar ist. 

15 

Bei der Technik der Divisorenrandcnnisi^img werden die Bits der Darstellung eines 
reduzierten Divisors, der ublicherweise das Basiselement des Kryptosystems ist, oder 
ein Zwischenergebnis der Skalarmultiplikation geandert. Die Technik der Divisoren- 
randomisierung wird eingesetzt, wenn ein Gruppenelement auf mehrere unterschied- 
20 liche Weisen dargestellt werden kann. 

Hervorhebenswerte Beispiele aus dem Stand der Technik sind die projektiven Kooidi- 
naten auf elliptischen Kurven: Zwei Tripel (X,Y,Z) und QC, Y\ Z') stellen den gleichen 
Punkt dar, wenn ein nichtverschwindendes Element s im Grundkdrper existiert derart, 
25 dass JSr= 5E^7, 7= s7^ und Z = sZ\ In Jacobischen Koordinaten (vgl. D. V. CSiudnovsky 
und G. V. Cbudnovsky, "Sequences of numbers generated by addition in formal groups 
and new primality and factoring tests'^ Advances in Applied Mathematics, 7 (1987) , 
Seiten 385 bis 434) stellen zwei Tripel (X, F, Z) und (37, F, Z') den gleichen Punkt dar, 
wennJr=/A7, F= xmd Z=^Z' mit ^ s K"" ist. 

30 
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Vor kuizem sind alternative Koordinatensysteme fixr liypCTellq>tische Kurven 6&s 
Geschlechts 2 vorgeschlagen worden. Ein inveisionsfteies System durch Miyamoto et al 
(vgl. Y. Miyamoto, H. Doi, K. Matsuo, J. Chao und S. Tsuji, "A fast addition algorithm 
of genus two hyperelliptic curve", in Proceedings of SCIS 2002, BBICE Japan, Seit^ 
497 bis 502, 2002, auf japanisch), das auf der hypeielliptischen Entsprechung der pro- 
jekdven Koordinaten fur elliptische Kurven operiert, wurde ausgedehnt und verbessert 
ducch Lange (v^. Tanja Lange, "Inversion-Free Arithmetic on Genus 2 Hyperelliptic 
Curves", Cryptology ePrint Archive, Report 2002/147, 2002, ht^://eprint.iacr.org/), die 
auch eine Entsprechung der Jacobischen Koordinaten entwickelte, namlich die 
sogenannten gewichteten Koordioaten (vgl. Tanja Lange, "Weighted Coordinates on 
Genus 2 Hyperelliptic Curves", Cryptology ePrint Archive, Report 2002/153, 2002, 
http://eprintiacr.org/). Bei Geschlecht 3 sind keine ahnlichen Systeme bekannt. 

Je gtoBer das Geschlecht der Kurve ist, desto Ideiner wird bei gleicher Gruppenordnung 

der Gnmdkdrper, und damit wird das Geschwindigkdtsverhal^ 

Multiplikationen Ideiner. Dies macht inversionsfieie Formeln fur Geschlecht 3 weniger 

attraktiv, denn es wurde eine Inveision gegen viele Multiplikationen eingetauscht 

Andeierseits existieien bereits efBziente Bitrandomisierungsver&hren fur Kurven des 

Geschlechts 3 sowohl fSa: FaUe ungeiader Charakteristik als auch fixr Falle gerader 

Charakteristik. 

In projektiven Koordinaten (Geschlecht 2) wird ein Divisor D nait zugehorigem 
Polynompaar als ein Quintupel [Ui, Uo, Vu Vo, Z] dargestellt, wobei 
U(t) = ^+Ujt/Z+Uo/Z und VftJ-^Vit/Z+Vo/Z. 

Die Divisorenrandomisienmg arbeitet wie folgt Ein zul^Uiges ssiC wird gewahlt, und 
die folgende Unotwandlung wird angewendet: 
[Uj, Uo, Vu Vo^Z]^ IsUi, sUo, sVu sVo, sZ\. 
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In gewichteten Kooidinaten wird ein Divisor D dutch ein Se)ctupel \Uh Uq, Vu Vq, Zj, 
Z2] dargestellt, wobei 

U(t)^t^-\-Ujt/Z/ + Uo/Z/ und V(t)= Vit/(Z/Z^+ Vo/(Z/Z^. 

5 Um den Basisdivisor oder eine Zwischenbereclmung unsichtbar zu machen, werden 
zwei Elemente sj, S2 in zufallig ausgewahlt und die folgende Transformation wird 
durchgefubrt: 

[Uj, Uo, Vu Vo, Zu Z2'\ [si^Uu siU(H shiVu shiVo, siZu S2Zi[ 

10 Wenn die zusatzlichen optionalen Koordinat^ 

zi = Zi^ Z2 = Zit Z3 ~ ZjfZ2 und Z4 = Z2Z2 = zs^ 

verwendet werden, sind diese zusatzlichen optionalen Koordinaten auch zu 
aktualisieren; die schnellste Weise der Aktualisierung besteht darin, sie von den Bildem 
von Zi und Z2 durch drei Quadrienmgen und eine Multiplikation zuruckzugewinnen. 

15 

Die beiden erfindungsgemaB vor^schlagenen MaBnahmen, namlich die MaBnahme der 
Kurvenrandoniisierung (— erstes Ausfuhrungsbeispiel) und die MaBnahme der Divi- 
sorenrandomisierung (= zweites Ausfuhrungsbeispiel) starken jeweils fixr sich 
genonsmen wie auch in Kombination miteinander hyperelliptische Kryptosysteme ge^n 
20 differentielle Stromanalyse. Sowohl die Technik der Kurvenrandomisierung als auch die 
Technik der Divisorenrandomisierung ist einiach einzufiihren und wirken sich auf den 
Durchsatz in lediglich unerheblicher Weise aus. 

Das Verfahren gemafi dem a:sten Aus iuhrungsbeispiel, das heifit die Kurvenrando- 
25 misierung transportiert die Skalarmultiplikation in der Jacobischen VarietSt in eine 
zufallig gewShlte isomoiphe Gruppe. Die Skalarmultiplikation wird in dieser zweiten 
Gruppe durchgeffihrt, und das Ergebnis der Skalarmultiplikation wird wieder in die 
erste Gruppe zuruckgebracht. Die Mefhode der Kurvenrandomisierung kann auf Kurven 
beliebigen Geschlechts angewendet werden. 

30 
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Das Verfiihren getnSfi dem zwdtett Ausfuhnmgsbeispiel, das heiBt die Divisorenrando- 
misienmg ist eine hyperelliptische Variante von Corons dritter GegemnaBnahme. Die 
Divisoienrandomisierung ist nur bei Kurvenfamilien anwendbar, von denen Koordi- 
natensysteme fur die Gruppenoperationen in den zugehorigen Jacobischen Vaiietaten 
bekannt sind, die den elliptischen projektiven oder Jacobischen entspiecben. 

Die beiden voistehend beschriebenen Geg^mnaBnabmen zum Abwebien von auf 
dilGferentieller Sttomanalyse berubenden Angriffen auf Implementierungen 
hyperelliptischer Ktyptosysteme konnen unabhangig voneinander oder gleicbzeitig 
nuteinander eingesetzt werden. 
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BEZUGSZEICHENLISTE 



C 



hyperelliptische Rurve 



C 



transformierte hyperelliptische Kurve 



5 D Divisor, insbesondere reduzierter Divisor 

g Geschlecht 

J Jacobische Varietat 

K Korper, insbesondere endlicher Korper 

n Skalar 

10 s Element, insbesondere nichtverschwindendes Element 

sj erstes Element, insbesondere nichtverschwindendes erstes Element 

$2 zweites Element, insbesondere nichtverschwindendes zweites Element 

t Variable 

^ Abbildung 

15 inverse Abbildung 



[si^Uh si^Uo, si^S2Vh si^siVo, siZi, 3^2] umgewandeltes Sextixpel 

20 



[sUu sUo, sVi, sVa, sZ\ 
[UuUo.VuVo,ZuZi\ 



Quinti^el 

umgewandeltes Quintupel 
Sextupel 



-23- 



PHDE030202 EP-P 



patentanspkOche 



1 . Verfahien zum Abwehren mindestens eines Angriffe, das mittels differentieller 
StromaDalyse bei mindestens einem hypeielliptischen Kiyptosystem, insbesondere bei 
mindestens einem hyperelliptischen Public-Key-Kryptosystem, erfolgt, das dutch 
mindestens cine hyperelliptisclie Kurve (Q beliebigen Geschlechts (g) uber einem 

5 endlichen Korper (K) in einer ersten Gtuppe gegeben ist, wobei die hyperelliptisclie 
Kurve (C) dutch mindestens einen KoefBzienten gegpben is^ 

daduich g ftVftTmyeichtiet^ 

dass die hyperelliptische Kurve (Q und/oder mindestens ein Element der ersten 
Qmppe, insbesondere mindestens ein insbesondere reduzierter Divisor und/oder 
10 mindestens ein Zwischenergebnis emer Skalarmulttplikation, randomisiert wird. 

2. Verfahren gemaB Anspmch 1, 

dadurch g ^eVentiTieichtiet^ 

dass die im Rafamen des hyperelliptischen Kryptosystems zu verarbeitenden uiid/oder zu 
15 verschliisselnden Bits von den Operanden dutch die hyperelliptische Kurve (C), 

insbesondere durch mindestens einen KoefBzienten der hyperelliptischen Kurve (C), 
und/oder durch mindestens ein Basiselement des Kryptosystems, wie etwa durch 
mindestens einen insbesondere reduzierten Divisor und/oder durch mindestens ein 
Zwischenergebnis einer Skalarmultiplikation, reprasentiert werden. 

20 

3. Ver&hten gemSfi Ansprach 1 oder 2, 
dadurch geke titireichnet^ 

dass mindestens eine Skalarmultiplikation in der Jacobischen Varietat JifQ(K) der 
hyperelliptischen Kurve (Q in einer von der ersten Gruppe verschiedenen sowie zur 
25 ersten Gruppe isomorphen, insbesondere zuSUig gewahlten zweiten Gruppe erfolgt 



< 
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4. Verfahren gemaB Anspruch 3, 
gekennzeichnet dm-ch 

die folgenden Schritte: 

Transformieren der Jacobischen Varietat J(C)(K) der hyperelliptischen Kurve 
5 (O mittels mindestens einer Abbildung insbesondere mittels mindestens 

eines K-Isomoiphismus, in die Jacobische Varietat JjfC>(K) der transformierten 
hyperelliptischen Kurve (C = ^Q); 

Multiplizieren der Jacobischen Varietat J(C)(K) der transformierten 
hyperelliptischen Kurve (6) rait mindestens einem Skalar (n); und 
10 - Rucktransformieren der mit dem Skalar (n) multiplizierten Jacobischen Varietat 
J(C)(K) der transformierten hyperelliptischen Kurve (C) mittels der zur 
Abbildung inversen Abbildung (^^) in eine mit dem Skalar (n) multiplizierte 
Jacobischen Varietat J(C) der hyperelliptischen Kurve (C), 
wobei 

15 - die Abbildung dem Obergang von der ersten Gnippe in die zweite Gruppe 
und 

die inverse Abbildung (^^) dem Obergang von der zweiten Gnippe in die erste 
Gruppe 
entspricht. 

20 

5. Verfahren gemaS mindestens einem der Anspruche 1 bis 4, 
gekennzeichnet durch 

die folgenden Schritte: 

Darstellen mindestens eines insbesondere reduzierten Divisors (D) mit 
25 zugehdrigem Polynompaar als mindestens ein Quintupel [C//, Uq, Vu Vq, ZJ in 

projektiven Koordinaten, 

wobei U(t)--^+ Ujt/Z+ CVZund VCtJ^Vit/Z-^ Vq/Z; 
Auswahlen, insbesondere zuialliges Auswahlen, mindestens eines 
nichtverschwindenden Elements (s) aus dem Koiper (K^); und 
30 - Umwandeln des Quintupels [Uj, Uo, Vj, Vq, Z\ mittels des ausgewahlten 
Elements (p) in das umgewandelte Quintupel \sUi, sUo, sVj, sVo, sZ\. 
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6. Ver&hren gemaB mindestens einem der Anspriiclie 1 bis 4, 

preVentiTieinhtiet duich 

5 die folgenden Schritte: 

Darstellen mindestens eines insbesondeie teduzierten Divisors (D) mit 
zugehSiigem Polynompaar als mindestens ein Sextupel [Ui, Uo, Vi, Vg, Zu Zj?] in 
projektiven Kootdinaten, 

wobei U(t) = t^+ Uit/Zi^ + UoIZi^ und V(t) = Vit/(Zi^Z^ + VoKZi^Z^^^ 
10 - Auswahlen, insbesondere zu^Uiges Auswahlen, mindestens zweier jeweils 
nichtverschwindender Elemente {§u si) aus dem Koiper (K^); und 
Umwandeln des Sextiq>els \Uu Uq, Vu Vq, Zu Z^] mittels der ausgewahlten 
Elemente {^u ss) in das umgewandelte Sextupel [si^Uj, s/Ua, si^stVi, siS2V(h 

SiZu S2Z2\. 

15 

7. Verfahren gemaB mindestens einem der Anspruche 1 bis 6, 

dadurch gekennzeichnet 

dass das Ver&hren auf mindestens einem insbesondere mindestens einer Chipkarte 
und/oder insbesondere naindestens einer Smart-Card zugeordneten Mikroprozessor 
20 implementiert wild. 

8. Mikroprozessor, arbeitend gem^ einem Verfiahren gemaB mindestens einem der 
Ansfpniche 1 bis 7. 

». • • 

25 9. Vorrichtung, insbesondere Chipkarte und/oder insbesondere Smart-Card, aufweisend 
mindestens einen Mikroprozessor gemaB Anspmcb 8. 
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10. Verwendung eines Verfahrens gemaB mindestens einem der Anspriiche 1 bis 7 
und/oder mindestens eines Mikroprozessors gemaB Anspnich 8 tmd/oder mindestens 
einer Vorrichtung, insbesondere mindestens einer Chipkarte und/oder insbesondere 
mindestens einer Smart-Card, gemafi Anspmch 9 beim Abwehren mindestens eines 
5 mittels differentieller Stromanalyse auf mindestens ein hyperelliptisches Kryptosystem, 
insbesondere auf mindestCTS ein hyperelliptisches Piiblic-Key-Kryptosystem, 
erfolgenden AngrifGs. 



10 
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ZUSAMMENFASSUNG 

Verfahren zum Abwehren von mittels differentieller Stromanalyse erfolgendm 
Angnffen 

Um ein Verfahren zum Abwehren mindestens eines Angriffe, das mittels differentieller 
5 Stromanalyse bei mindestens einem hyperelliptisclien Kryptosystem, insbesondere bei 
mindestens einem hj^erelliptiscliCT Piiblic-Key-Kiyptosystem, erfolgt, das dutch 
mindestens eine hyperelliptische Kurve (C) beliebigen Geschlechts (g) uber einem 
endlichen K5iper (K) in ein^ ersten Gruppe gegeben ist, wobei die hyperelliptische 
Kurve (C) durch mindestens einen Koeffizienten gegeben ist, so weiteizuhilden, dass 
10 ein wesentlicher Beitrag zu einer efBzienten und sicheren Ltnplementierung des 

hyperelliptischen Kryptosystems geleistet werden kann, wird vorgeschlagen, dass die 
hyperelHptische Kurve (C) und/oder mindestens ein Element der ersten Grappe, 
insbesondere mindestens ein insbesondere reduzierter Divisor und/oder mindestens ein 
Zwischenergebnis einer Skalarmultiplikation, randomisiert wird. 
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